Sauvetage Ransomware NAS QNAP TS-453Be

Publiée le 24/12/2021

Ces derniers mois, des milliers d’entreprises ont subi des attaques de Ransomware. Des cas de moins en moins médiatisés mais une problématique toujours bien présente comme en attestent les nombreux sauvetages que nous avons réalisés. Les attaques continuent mais les cibles évoluent : après les grands comptes, les administrations, ce sont désormais les PME, souvent plus vulnérables, qui sont attaquées.
 

En effet, les ransomwares se multiplient en 2021 et les cybercriminels continuent d’accélérer les attaques pour récupérer des gains financiers. Les données chiffrées par les ransomwares peuvent être des bases de données, de la comptabilité, des fichiers clients…, sur les serveurs de production. En parallèle, les hackers vont saboter et détruire les sauvegardes qui sont connectées et stockées fréquemment sur des NAS avec des systèmes de sauvegarde comme Veeam ou Acronis par exemple.
En 2021, nous avons réalisé toujours plus d’interventions sur Ransomware. Découvrez comment nous avons retrouvé les données d’un NAS saboté par les hackers : https://recoveo.com/actualites/recuperation-de-donnees-sur-nas-netgear-suite-attaque-ransomware-crylock
 

Attaque sur NAS QNAP TS-453Be

Fin novembre 2021, une entreprise du centre-ouest de la France nous contacte suite à une demande de rançon. L’attaque semble s’être déroulée dans la nuit du 28 au 29. Les données de son NAS Qnap composés de 4 disques de 6 To ont été supprimées. Il s’agirait d’environ 5 To de données rendues inaccessibles, réparties dans plusieurs fichiers de sauvegardes contenant les machines virtuelles VmWare. Le client souhaite récupérer ses fichiers Veeam le plus rapidement possible pour reprendre son activité. Nous n’avons pas plus de détails sur le ransomware incriminé ni sur la méthode de suppression.
 

L'intervention de nos experts

Nous recevons la demande le 29/11 en fin de journée et prenons en charge le dossier grâce à notre cellule d’urgence 7/7j et 24/24h.
Nos équipes ouvrent le dossier et échangent rapidement avec le client afin d’avoir plus de détails sur sa problématique et son environnement (type de Raid, nombre de disques, marque, modèle du serveur, volume de données, etc). Il s’agit d’un Raid 6, sous Linux Ext 4, dans un NAS QNAP TS-453Be 4 baies avec 4 disques de 6 To. Les données les plus importantes sont des fichiers de sauvegarde Veeam (vbk) de plusieurs Go.
Après avoir collecté toutes les informations nécessaires et eu la validation de notre client, nous mettons en place un transport express en urgence le 30/11 pour récupérer le matériel le plus rapidement possible. Une fois reçu au laboratoire 5h plus tard, un diagnostic complet est réalisé. Nous lançons ensuite un clonage de l’ensemble des disques pour sécuriser les données. Nos experts s’aperçoivent vite que le premier disque est endommagé et qu’un second est en train de se dégrader physiquement. Une intervention en salle blanche sera donc inévitable. Les disques sont des Seagate Barracuda 4 To. Une fois les différentes opérations réalisées et les accès rétablis nous connectons les disques à notre serveur équipé d’outils dédiés à ce type de problématique. Après plusieurs manipulations, le technicien retrouve les paramètres du RAID à la main, il lance ensuite l’extraction des 5 To de données retrouvées vers un nouveau NAS.
 

UN SUCCÈS PRESQUE TOTAL

Après plusieurs heures de copie, une vérification de l’intégrité des 2 400 fichiers récupérés est réalisée. Finalement, c’est un excellent résultat : moins de 1% des fichiers testés sont endommagés et nous récupérons de nombreuses machines virtuelles intactes. Le 2 décembre, nous avons fait parvenir au client certaines machines virtuelles dont il avait besoin en urgence via notre serveur de téléchargement. La totalité des fichiers récupérés ont été livrés le lendemain par coursier express.